작동 방식
지속가능성 명시는 단순한 기업의 자발적 공시가 아닙니다. CSRD 대상 기업에게는 정해진 양식, 보고 기준, 검증 요건이 있습니다. ISAE 3410은 경영진의 지속가능성 공시가 적용 가능한 기준(ESRS 또는 GRI)에 따라 공정하게 작성되었는지 확인하는 감사인의 책임을 규정합니다.
감사인이 검토해야 할 첫 번째 요소는 이중 중요성 분석입니다. ESRS 2(일반 공시) 섹션 2는 기업이 자신에게 중요한 문제(재무적 중요성)와 사회·환경에 중요한 문제(영향 중요성)를 모두 식별해야 한다고 명시합니다. 이 두 관점의 교집합이 보고 범위를 결정합니다. 감사인은 이 분석이 실질적이며 근거가 있는지 확인해야 합니다(ISAE 3410.72–74).
두 번째 요소는 내부 통제입니다. ISAE 3410.60은 감사인이 지속가능성 데이터 수집, 집계, 검증 과정에서의 통제가 설계되고 운영되고 있는지 평가해야 한다고 요구합니다. 많은 팀이 재무보고용 통제는 갖추고 있지만 지속가능성 데이터에 대한 병렬 통제 구조가 없습니다.
세 번째 요소는 정보 공시의 완전성입니다. ESRS는 개별 공시점(datapoint)을 지정합니다. 기업이 "비적용(not applicable)"을 주장하려면 구체적인 근거가 필요합니다. "우리 산업에서는 중요하지 않다"는 충분하지 않습니다. ISAE 3410.A51은 감사인이 공시가 누락되지 않았거나, 누락이 있으면 정당화되는지 확인해야 한다고 명시합니다.
실무 사례: 벨트 산업의 지속가능성 평가
대상 기업: 스트랩테크 B.V., 네덜란드 운송용 벨트 제조사, 연매출 €87M, CSRD 적용 대상
단계 1: 이중 중요성 분석 검토
경영진은 10개 외부 이해관계자 그룹(공급자, 고객, 종업원, 커뮤니티)과 인터뷰를 실시했고, 15개 ESG 주제 목록에 대해 순위를 지정했습니다. 각 주제별 스프레드시트에는 인터뷰 응답자 수, 응답 분포, 점수 계산 근거가 기록되었습니다.
문서화 메모: 이중 중요성 분석 기록 폴더에는 각 응답자 그룹별 정성적 피드백과 최종 순위 결정의 유사성 매트릭스가 저장되어야 합니다.
단계 2: 재무적 중요성 vs 영향 중요성 분리
스트랩테크의 분석에서 "노동 관행과 작업 안전"은 두 관점 모두에서 상위 3개 주제였습니다(재무적 점수 8.7/10, 영향 점수 8.9/10). "생물다양성"은 영향 중요성은 높았으나(8.1/10) 재무적 영향은 미미했습니다(2.4/10). 감사인은 매트릭스에서 이 두 선을 선명하게 구분하는지 확인했습니다.
문서화 메모: 이중 중요성 행렬(Materiality Matrix)에는 각 주제별 x축(영향 중요성) 및 y축(재무적 중요성) 점수가 명확히 표시되어야 하며, 선택된 임계치 선이 명시되어야 합니다.
단계 3: 수집 프로세스 테스트
스트랩테크의 지속가능성 팀은 3개 생산지로부터 월별 안전 사고 데이터(시간당 손실 사고율, TRIFR)를 수집합니다. 감사인은 2024년 전월 중 하나를 선택해 원본 기록(공장 안전 레지스터)에서 보고된 수치까지의 경로를 추적했습니다. 생산지 A에서는 10건의 사고가 기록되었으나, 누적 스프레드시트에는 9건만 입력되어 있었습니다. 행락 중 부상(비업무 중상)이 제외 기준이었으나 문서화되지 않았습니다.
문서화 메모: 데이터 검증 워크페이퍼에는 표본 월별 수집 프로세스(원본 출처 → 중간 집계 → 최종 보고)의 각 단계별 증거와 특정 조정 항목 근거가 포함되어야 합니다.
단계 4: 공시 완전성 확인
ESRS 2 섹션 2.1에서는 지배 구조, 이사회 다양성, 임원 보수 정책 공시를 요구합니다. 스트랩테크의 보고서에는 이사회 멤버의 이름과 임기가 있었으나 성별 또는 연령 분포가 없었습니다. 경영진은 "우리 규모 기업은 비적용"을 주장했습니다. 감사인은 비적용 요청이 ESRS 2.2(기업별 평가)를 거쳤는지 확인했고, 이중 중요성 분석이 다양성을 영향 중요성(상위 5개)으로 식별했음을 발견했습니다. 따라서 "비적용"은 부당했습니다.
문서화 메모: 비적용 요청 기록에는 ESRS 2.2 기업별 평가, 이중 중요성 분석에서의 관련 주제 점수, 의도적 제외 결정의 승인이 포함되어야 합니다.
결론: 감사인은 수집 프로세스 오류 1건(공제 기준 누락)을 식별했고, 완전성 오류 1건(비적용 부당 주장)을 식별했습니다. 둘 다 조정됨으로써 지속가능성 명시는 ESRS에 따라 공정하게 작성되었다는 의견이 합당해집니다.
감사인과 검토자가 놓치는 사항
Tier 1: 국제적 검토 데이터
국제 감사 기준 위원회(IAASB) 및 국제 회계감시위원회(IOSCO)는 지속가능성 신뢰성 제공 업무의 초기 구현에서 반복적인 오류를 식별했습니다. 가장 흔한 것은 이중 중요성 분석의 절차 부재(기업의 주장 검증 없이 경영진 결과 수용), 벤치마크 데이터의 추적 불가능성(외부 데이터 원본을 명시하지 않음), 보수 평가(기업이 제시한 범위 내에서만 표본 추출)입니다.
Tier 2: 표준 요구사항 관련 실무 오류
ISAE 3410.A51은 감사인이 공시 완전성을 확인해야 한다고 명시합니다. 실무에서는 많은 팀이 현재 공시된 항목이 정확한지에만 집중합니다. ESRS가 요구하는 항목을 검토 리스트로 만들고 각 항목별 기업의 공개 여부와 공개 여부 근거를 확인하는 절차가 부족합니다.
Tier 3: 문서화 격차
지속가능성 감사는 재무감사보다 최근에 도입되었으므로 많은 팀이 기업별 평가, 비적용 요청, 데이터 조정의 근거를 문서화하는 표준 조서 구조를 갖추지 못했습니다. ISAE 3410의 증거 수준은 재무감사(ISA 500)와 동일하므로, 동일한 문서화 엄격성이 필요합니다.
관련 용어
이중 중요성: 지속가능성 보고에서 기업에 영향을 미치는 환경·사회 문제(재무 중요성)와 기업이 환경·사회에 미치는 영향(영향 중요성)을 동시에 평가하는 개념입니다.
CSRD: 유럽연합의 대기업(250명 이상 종업원 또는 €50M 이상 매출)에 지속가능성 보고를 의무화하는 지침입니다.
ESRS: CSRD 대상 기업이 따라야 하는 구체적 공시 기준이며, 15개 영역(환경, 사회, 지배 구조) 이상을 포함합니다.
ISAE 3410: 지속가능성 정보에 대한 신뢰성 제공 업무(감사)의 기준입니다.
제한 신뢰성 평가: ISAE 3410에서 허용되는 확신 수준으로, 합리적 신뢰성 평가(재무감사)보다 낮은 절차 강도를 의미합니다.
GRI: ESRS와 함께 인정되는 지속가능성 공시 기준이며, 특히 유럽 외 기업에서 널리 사용됩니다.
관련 도구
ISAE 3410 신뢰성 제공 업무 평가 키트는 지속가능성 감사 계획, 표본 설계, 이중 중요성 분석 검토 절차를 담은 완성된 워크페이퍼 모음입니다. 기업별 평가와 공시 완전성 체크리스트가 포함되어 있습니다.